Служба реагирования на компьютерные инциденты – KZ-CERT предупреждает о рассылке злоумышленниками электронных писем содержащих ссылки на вредоносные программы.
По данным пресс-службы Министерства по инвестициям и развитию Казахстана, с сентября 2015 года пользователи Интернета стали получать по электронной почте сообщения, отправителем которых якобы является юридическое лицо, у которого идёт налоговая проверка.
"Письма имеют заголовок "Документы", - сообщает пресс-служба МИР РК и далее приводит текст письма с вирусом.
"Здравствуйте! В нашей компании налоговая проверка. У нас с Вами нет одного договора и счёт-фaктуры. Огромнейшая просьба подписать, отсканировать и выслать нам сегодня. Архив прикреплён. Ссылка для скачивания файлов: (указаны вредоносные ссылки) Файлы будут храниться до 24.10.2015", - говорится в распространяемом письме злоумышленниками.
Как поясняет пресс-служба ведомства, перейдя по ссылкам, пользователь автоматически загружает вредоносный файл "Documenti dlya nalogovoi.scr", который имеет иконку документа Word, для введения пользователя в заблуждение, касательно истинного содержимого файла.
"Используется расширение файла scr, которое многие пользователи не считают опасным, также не всегда данное расширение (в отличие от .exe и .com) контролируется автоматическими системами контроля (например, контроль скачивания на прокси-сервере и др.)", - отмечается в сообщении пресс-службы.
Информируется, что многие продукты детектируют объект по имени Cryakl (Criakl) – один из современных троянцев-шифровальщиков.
"Этот шифровальщик является весьма опасным, поскольку в настоящий момент не всегда имеется возможность расшифровки зашифрованных им данных", - уточнили в пресс-службе министерства.
Далее приводится веречень расширений файлов, которые подвергаются зашифровыванию данным вредоносным объектом:
113, 1cd, 3gp, 7z, accdb, arj, asm, bak, cdr, cer, cpt, csv, db3, dbf, doc, docx, dt, dwg, fbf, fbk, fbw, fbx, fdb, gbk, gho, gzip, jpeg, jpg, key, keystore, ldf, m2v, m3d, max, mdb, nbd, nrw, nx1, odb, odc, odp, ods, ods, odt, old, orf, p12, pdf, pef, ppsx, ppt, pptm, pptx, pst, ptx, pwm, pz3, qic, r3d, rar, raw, rtf, rwl, rx2, sbs, sn1, sna, spf, sr2, srf, srw, tbl, tib, tis, txt, wab, wps, wps, x3f, xls, xlsb, xlsk, xlsm, xlsx, zip.
Как пояснили в Министерстве по инвестициям и развитию, этот образец шифрует файлы офисных приложений, причём, как Microsoft Office, так и OpenOffice, архивы, изображения, файлы баз данных, файлы криптографических ключей (ЭЦП), файлы программы 1С: Предприятие и другие.
"Просим проявлять осторожность и не переходить по ссылкам в сообщениях электронной почты, полученных из неизвестных источников", - предупреждает министерство.
Также министерство просит пользователей Сети, случайно запустивших вредоносный файл, постараться как можно быстрее завершить процесс mail.exe
"Используя диспетчер задач – Ctrl+Alt+Del -> Запустить диспетчер задач. Если сделать это достаточно быстро, Вы можете уменьшить количество зашифрованных файлов. После этого (не перезагружая компьютер, так как вредонос автоматически запустится после перезагрузки), нужно установить антивирусную утилиту проверки компьютера, которая устанавливается без перезагрузки (например, Kaspersky Virus Removal Tool или Dr.Web CureIt!) и проверить компьютер", - уточняется в распространённом сообщении пресс-службы.
В случае не выполнения сложных технических действий на компьютере, после завершения процесса mail.exe рекомендуется обратиться к техническим специалистам. При этом отмечается, что компьютер не нужно выключать и не перезагружать.
Подробные рекомендации по борьбе с этим вирусом можно получить на сайте министерства, перейдя по ссылке.
